Skip to main content
Join the Community
Add as a preferred source on Google Opens new window Join the Community Join the Community
Infraestructura de Red

4 pasos para realizar una prueba de penetración de red exitosa

Eze Onukwube
By
Eze Onukwube
Eze Onukwube

More about Eze

Las pruebas de penetración de red son fundamentales en la arquitectura actual de seguridad de la información. Sigue estos 4 pasos principales para ejecutar una prueba de penetración exitosa.

Las pruebas de penetración de redes son una parte vital de la arquitectura de seguridad de la información actual. Su importancia ha crecido a medida que ha aumentado la sofisticación de las violaciones de datos a lo largo de los años, lo que subraya la necesidad de fortalecer los sistemas de seguridad de la información. La Base de Datos Nacional de Vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos registró un total de 180.532 vulnerabilidades solo en 2020.  

Las pruebas de penetración ayudan a exponer estos fallos de vulnerabilidad en un sistema. Esta prueba de seguridad la realizan los hackers del lado bueno, conocidos como hackers éticos. Este calificativo es necesario porque "hacker" solía tener una connotación negativa y contracultural. De niño impresionable, una de las cosas que me atrajo a la informática fue el atractivo del hacker rebelde retratado en películas y televisión.

Una de mis favoritas es "Atrápame si puedes", principalmente porque narra las hazañas reales del hábil falsificador Frank Abagnale, Jr., quien, según se dice, se convirtió en el ladrón de bancos más exitoso de la historia a los 17 años.

Want more from The CTO Club?

Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.

Have an account? Log In

Este campo es un campo de validación y debe quedar sin cambios.
Name*

Más relevante aún, la película destaca la importancia y las lecciones de varios conceptos de pruebas de penetración. 

Pruebas de penetración: Para atrapar a un ladrón, tienes que pensar como uno

Técnicamente, Frank no era un hacker, pero su capacidad para descubrir y explotar vulnerabilidades en un sistema se asemeja al enfoque que utilizan tanto los hackers éticos como los malintencionados. 

Aún más, la batalla de ingenios entre Frank y el agente del FBI que lo persigue, Carl Hanratty, refleja el juego del gato y el ratón entre los actores maliciosos y los profesionales de la ciberseguridad encargados de defender nuestras fortalezas digitales. 

Las pruebas de penetración simulan el proceso y los métodos que un hacker utiliza o utilizaría para comprometer un sistema. Al igual que el agente Hanratty, los hackers éticos deben anticipar y pensar en los mismos patrones nefastos que siguen los "chicos malos". 

Si bien los hackers éticos desempeñan un papel vital en las pruebas de penetración de redes, las herramientas que utilizan son igual de importantes. Si usas Jira para la gestión de proyectos, quizá te resulte útil nuestra guía sobre herramientas de gestión de pruebas para Jira para optimizar tus esfuerzos de hacking ético.

Pruebas de penetración: La mejor ofensiva siempre es una buena defensa

Frank finalmente encontró la redención al convertirse en una autoridad reconocida en el ámbito del cibercrimen, las estafas, la falsificación y los documentos seguros. Canalizó su original inclinación criminal para ayudar a los bancos a identificar vulnerabilidades en sus sistemas.

Las pruebas de penetración de redes buscan lograr el mismo propósito de cerrar vulnerabilidades de seguridad para ayudar a las organizaciones a proteger datos sensibles. Por lo tanto, los hackers éticos y el hacking ético juegan un papel vital en el panorama actual de la ciberseguridad.

Pero quienes protegen la información en nuestra era digital enfrentan un entorno donde el equilibrio de poder ya está en su contra.

"Para salvaguardar la infraestructura informática que se les ha confiado, los expertos en ciberseguridad deben estar en lo correcto todo el tiempo. Un hacker, en cambio, solo necesita acertar una vez."

Esta dificultad de jugar en defensa se ve agravada por la falta de profesionales de TI con la experiencia y los conocimientos apropiados. Según Forbes, solo en Estados Unidos hay 465.000 puestos de ciberseguridad sin cubrir.

Las pruebas de penetración de redes son, al menos, un paso en la dirección correcta. 

Este artículo cubrirá los siguientes temas:

¿Qué es una prueba de penetración de redes?

Una prueba de penetración de redes (también llamada "pen test") busca identificar vulnerabilidades en un sistema de software simulando un ciberataque. Este ataque simulado también pone a prueba la resiliencia de la seguridad de la información de una organización, evaluando su capacidad para resistir una vulneración o compromiso.

Para lograr esto, los hackers de sombrero blanco o éticos despliegan intencionalmente los métodos y técnicas utilizados por agentes maliciosos. Pero en este caso, para descubrir y posteriormente corregir las debilidades o fallos en el perfil de seguridad del sistema.

Aunque el propósito es comprometer un sistema, los hackers éticos necesitan tener acceso legal y autorizado. Por lo tanto, un pentester debe contar con un mandato o autorización documentada de la organización para permitir que se lleven a cabo las actividades de hacking ético. 

En última instancia, los resultados permiten a los profesionales de redes y ciberseguridad brindar recomendaciones que mejorarán la red y la seguridad general de la organización ante futuros ataques.

Además de las evaluaciones a nivel de red, las pruebas de penetración también incluyen pruebas a nivel de aplicaciones, junto con vectores de acceso remoto como conexiones VPN. 

Normalmente, una prueba de penetración tiene dos objetivos principales:

  1. Determinar si los hackers maliciosos pueden obtener acceso no autorizado a un sistema, cómo podrían subvertir sus defensas de seguridad para lograr este propósito, y el impacto posterior de esas actividades en los registros de sistema, archivos, datos de clientes y/o propiedad intelectual.
  2. Determinar si existen medidas y controles de seguridad como la gestión de vulnerabilidades, para reforzar la seguridad de la infraestructura de TI. 

Una prueba de penetración es una excelente forma de aprender y entender la postura de riesgo de una empresa. Permite a una organización establecer si sus activos digitales pueden ser comprometidos, y en caso afirmativo, clasificar posteriormente los riesgos que representan esas amenazas para su seguridad cibernética general. 

A continuación, algunos beneficios adicionales de realizar una prueba de penetración:

  • Prevenir la ocurrencia de brechas en la red y pérdida de datos
  • Comprender y establecer la línea base de la red
  • Poner a prueba los controles y componentes de seguridad
  • Proteger la seguridad del sistema y la red
JOIN THE COMMUNITY
Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Este campo es un campo de validación y debe quedar sin cambios.
Name*

Tipos de pruebas de penetración de red

Existen varias formas de enfocar las pruebas de penetración. En cuanto a la evaluación de la infraestructura de seguridad general de una organización, se puede hacer desde dos perspectivas: mediante métodos internos o externos. 

  1. Pruebas de penetración de red internas: Esta prueba ayuda a evaluar los daños que los atacantes pueden causar una vez que logran entrar en la red. El propósito de las pruebas internas es tanto simular amenazas internas dentro del perímetro corporativo, como medir el alcance de acciones maliciosas o inadvertidas que llevan al compromiso de los activos de información.
  2. Pruebas de penetración de red externas: Estas pruebas examinan la efectividad de las defensas perimetrales de una red. Evalúan la capacidad de los controles de seguridad externos para detectar y prevenir los ataques. 

Otro enfoque utilizado para categorizar las pruebas de penetración se basa en el grado de información proporcionada y el nivel de conocimiento disponible para el tester. 

  • Pruebas de caja blanca: Este es el enfoque más completo, ya que permite a los evaluadores verificar e inspeccionar las partes internas de un sistema. Por lo tanto, los hackers de caja blanca reciben tanta información como sea posible sobre el sistema.   
  • Pruebas de caja negra: En este caso, el hacker ético comienza con un nivel mínimo de conocimiento. Este tipo de prueba se emplea para simular ataques de fuerza bruta, ya que el hacker desconoce la complejidad interna de la infraestructura objetivo.
  • Pruebas de caja gris: Representa un término medio entre los dos extremos anteriores. El equipo de pruebas dispone de un conocimiento parcial del sistema. 

Las pruebas de penetración también pueden clasificarse según sus componentes y vectores de ataque.

  • Ingeniería social: Es un enfoque centrado en las personas y, por ende, representa uno de los eslabones más débiles en la ciberseguridad empresarial. Suele perpetrarse a través del phishing por correo electrónico. 
  • Pruebas de infraestructura de red: Este test examina la red en busca de brechas y vulnerabilidades que puedan ser explotadas en puntos de acceso internos y externos. Normalmente, se enfocan en áreas como pruebas de elusión de firewall, engaño de IPS y ataques a nivel de DNS.
  • Pruebas de redes inalámbricas: Esta prueba explota redes inalámbricas sin protección al exponer vulnerabilidades y evaluar el daño potencial que podrían causar. 
  • Pruebas de seguridad de aplicaciones web: Apunta a fallos en la lógica de las aplicaciones y gestión de sesiones, para ejecutar exploits como ataques de inyección SQL.

¿Quién es el responsable habitual de realizar una prueba de penetración?

Las pruebas de penetración son llevadas a cabo por hackers éticos que han obtenido la autorización para efectuar ataques simulados en las aplicaciones web o la seguridad de la red de una organización. Es necesario el permiso legal, ya que estas pruebas suelen ser realizadas por terceros que ofrecen servicios de pruebas de penetración.

Los evaluadores de penetración que buscan vulnerar un sistema forman parte de lo que se denomina el equipo rojo. Los integrantes del equipo rojo son profesionales de la seguridad ofensiva responsables de probar las defensas de la organización. El equipo rojo identifica rutas de ataque que pueden ser utilizadas para comprometer la seguridad y exponer sus vulnerabilidades, utilizando técnicas de ataque reales.

Por otro lado, el equipo azul está compuesto por profesionales de la ciberseguridad encargados de los mecanismos de defensa. En la práctica, defienden contra el equipo rojo y mantienen las defensas internas frente a amenazas de ciberataques. 

Guía de 4 pasos para realizar una prueba de penetración exitosa

Como ejercicio sistemático, una prueba de penetración requiere metodologías y marcos estandarizados para llevarse a cabo de manera efectiva. Por lo general, las pruebas de penetración siguen métodos probados para abordar la presencia de vulnerabilidades reales o potenciales en un sistema de aplicaciones.

Por lo general, se incluyen cuatro pasos principales para ejecutar una prueba de penetración de red exitosa. 

Paso 1: Recopilación de información y determinación del alcance

La fase de recopilación de información normalmente ocurre al inicio del ejercicio de pruebas de seguridad. Sin embargo, también puede ser un proceso iterativo y auto-reforzante, ocurriendo a lo largo de la prueba de penetración de red a medida que los accesos exitosos proporcionan más información sobre el objetivo. 

Aquí, los profesionales de seguridad y expertos en pruebas colaboran con la organización para identificar y hacer un inventario de todos los activos de red, como cortafuegos y otros dispositivos.  

El proceso de recopilación de información incluye definir el alcance y aclarar las expectativas del cliente.

Alcance de la prueba de penetración

Para tener éxito, las pruebas de penetración deben ser una actividad disciplinada y enfocada. Esto se debe a que puede no ser práctica ni financieramente viable examinar todo el perímetro de una infraestructura de TI. Como resultado, una parte importante de la etapa de recopilación de información consiste en determinar el alcance de la prueba de penetración. 

Definir el alcance es un resumen de todos los límites y perímetros de acción que el equipo de seguridad explorará durante el proceso de prueba. Así que el alcance de una prueba determina su nivel de intrusión, y la delimitación se refiere al momento en que se establecen los límites para la prueba de penetración.

Por restricciones de tiempo y por razones prácticas, algunas áreas del sistema, como los dispositivos conectados, pueden quedar excluidas durante la prueba. 

Paso 2: Reconocimiento y descubrimiento

Para entender cómo corregir brechas de vulnerabilidad, los hackers éticos deben realizar actividades de reconocimiento exhaustivo. Esto es especialmente necesario en pruebas de penetración de tipo "caja negra", donde el hacker ético debe encontrar por sí mismo la información necesaria para explotar vulnerabilidades. 

El reconocimiento y descubrimiento son mecanismos de exploración que se utilizan para inspeccionar la infraestructura de seguridad general de una organización. Esta fase permite a los expertos en seguridad investigar de manera encubierta los recursos y la postura de seguridad de su objetivo.

Herramientas de reconocimiento activo

Active Reconnaissance Tools Screenshot
SolarWinds IP Address Manager (IPAM).

El reconocimiento activo implica sondear y relacionarse directamente con el sistema objetivo para obtener respuestas utilizables.

Para llevar a cabo con éxito una prueba de penetración de red, es fundamental comprender las técnicas clave y las herramientas empresariales de pruebas de penetración necesarias para realizar dicho reconocimiento. Estas son algunas de las herramientas utilizadas durante la ejecución de pruebas de penetración:

  • Escaneo de puertos: Este es un método de reconocimiento popular utilizado para determinar los puertos abiertos en un sistema. El escaneo de puertos permite a un técnico de pruebas de penetración determinar la fortaleza de la seguridad de la red y los servicios que se ejecutan en una máquina. Esta herramienta revela cuáles puertos están abiertos y reciben información (escuchando), además de facilitar la identificación de dispositivos. Identificar dispositivos en una red permite al usuario descubrir dispositivos de seguridad como cortafuegos entre el remitente y el objetivo. Los escaneos de puertos furtivos que pueden pasar desapercibidos en los archivos de registro de un sistema son de máximo interés para los hackers.
    • Ejemplos de herramientas de escaneo de puertos incluyen Nmap o Network Mapper, TCP Port Scanner, Port Authority, NetScanTools, entre otros.
  • Captura de paquetes: Estas herramientas permiten detectar y observar los paquetes de datos que circulan por una red. Las herramientas de captura de paquetes también se conocen como analizadores de protocolos de red. Los administradores de red las utilizan para monitorear sus redes y detectar paquetes falsificados, direcciones IP no reconocidas y la generación sospechosa de paquetes desde una sola dirección IP. Pero los hackers las emplean para buscar servicios de red vulnerables como puertos y protocolos, e implementar ataques de intermediario (man-in-the-middle).
  • Barrido de red (Ping sweeping): Los barridos de red se utilizan para establecer un rango de direcciones IP que corresponden a hosts activos. Esta técnica de escaneo puede enviar pings a múltiples direcciones de red simultáneamente. Un hacker utiliza esta sonda de red para enviar un conjunto de paquetes ICMP ECHO a servidores y observar cuáles responden. Así puede determinar cuáles están activos.
  • Análisis de vulnerabilidades: Estas engloban herramientas utilizadas para identificar problemas de configuración y otras vulnerabilidades conocidas en redes y sus hosts, como la presencia de malware. Sin embargo, es importante conocer las diferencias entre pruebas de penetración y análisis de vulnerabilidades.
    • Algunos ejemplos son Nessus, Acunetix, Nexpose y muchos más.
  • Pruebas de seguridad de aplicaciones web: Estas herramientas son esenciales para probar la seguridad de aplicaciones web en todas las fases y descubrir debilidades en su configuración. Se usan métodos como análisis estático y dinámico para detectar vulnerabilidades en el código del software de las aplicaciones.
    • Plataformas integradas como Burp Suite agrupan varias aplicaciones para probar y asegurar aplicaciones web con herramientas como escáneres avanzados, proxy de interceptación, herramientas de intrusión y de secuenciación. 
  • Ingeniería social y consultas de información en Internet: Los ataques de ingeniería social se utilizan principalmente para obtener acceso sigiloso a los sistemas de información engañando a los usuarios para que revelen sus credenciales de acceso. 

El descubrimiento es la consecuencia lógica de un reconocimiento exitoso. Cuando descubres e identificas una vía para vulnerar la red, pasas a la acción para explotar esos riesgos de seguridad. 

Paso 3: Explotación, ejecución y escalada

El siguiente paso en una prueba de penetración es la explotación real de las debilidades detectadas en los sistemas de seguridad de la información durante el reconocimiento. El objetivo de esta fase es ver hasta dónde puede llegar el hacker ético dentro del sistema sin ser detectado. 

Estos ataques simulados se llevan a cabo en un entorno controlado donde el evaluador elige el vector de ataque más sencillo o el exploit más crítico basado en la inteligencia recabada durante el reconocimiento. Algunos de estos ataques incluyen inyección SQL, cross-site scripting, desbordamiento de búfer, escalamiento de privilegios, entre otros.

El marco más comúnmente utilizado para configurar el exploit a ser dirigido y la carga útil a emplear en esta etapa es Metasploit

Una vez que el atacante ha logrado establecerse dentro del sistema, puede pivotar y moverse más profundamente dentro de él para comprometer otros activos como máquinas vulnerables con sistemas operativos Linux o Windows. 

Paso 4: Reporte y remediación

results from solarwinds IP address scanning screenshot
Resultados del escaneo de direcciones IP con SolarWinds.

Una vez concluida la prueba de penetración, el/los evaluador(es) debe(n) compilar un informe con los hallazgos para la organización. El informe debe incluir detalles sobre el proceso, las vulnerabilidades descubiertas, la evidencia recolectada y recomendaciones para la remediación.

La remediación implica el importante proceso de cerrar las brechas de seguridad descubiertas durante la prueba. Esto debe dar lugar a una discusión sólida sobre los medios más efectivos de remediación que mejor mitiguen cada una de las vulnerabilidades identificadas.

La remediación puede abarcar una amplia gama de acciones tales como:

  • Implementar parches y actualizaciones de software
  • Ejecutar cambios en la configuración o en las operaciones
  • Desarrollar e introducir nuevas medidas, procedimientos y herramientas de seguridad

Refuerza tu red con pruebas de penetración

El objetivo de las pruebas de penetración es aumentar la seguridad de tu red y del sistema de información, permitiendo que consultores de seguridad prueben y evalúen su eficacia. Una vez expuestas estas debilidades, la responsabilidad recae en la organización para mitigar los riesgos identificados. 

Suscríbete al boletín The QA Lead para aprender más sobre pruebas de extremo a extremo diseñadas para escalar.

Lecturas relacionadas:

También vale la pena revisar:

Lista relacionada de herramientas:

You may also like